fr

La Commission européenne dévoile d’importantes initiatives liées au DNS et aux fournisseurs de services DNS

16 décembre 2020

Elena PlexidaElena Plexida, VP, Government and IGO Engagement

Cette semaine, la Commission européenne a publié d'importantes initiatives liées au système des noms de domaine (DNS), notamment aux données d'enregistrement de nom de domaine et aux fournisseurs de services DNS. L'organisation ICANN souhaiterait en informer la communauté.

Le paquet législatif de la loi sur les services numériques

Le mardi 15 décembre 2020, le paquet législatif de la loi sur les services numériques a été publié ; il comprend la loi sur les services numériques (DSA) et la loi sur les marchés numériques (DMA).

La DSA prévoit des règles pour les services d'intermédiaire en ligne. Les obligations des différents acteurs en ligne tiennent compte de leur rôle, de leur taille et de l'impact sur l'écosystème en ligne. Les services d'intermédiaire, qui proposent des infrastructures de réseau tels que les fournisseurs de services Internet et les fournisseurs de services DNS ainsi que des services d'hébergement tels que les services d'hébergement web et en nuage et en nuage et les plates-formes en ligne, sont visés par la DSA indépendamment de leur taille. Les plates-formes en ligne devront prendre davantage de mesures afin de limiter la diffusion de contenus et produits illégaux.

La DSA indique viser clairement les fournisseurs de services DNS. Cela lève l'ambiguïté du cadre législatif actuel, à savoir la directive 2015/153516 et la directive sur le commerce électronique, qui ne permet pas de savoir si les opérateurs DNS peuvent être considérés comme des « services de la société d'information » et dans quelle mesure le régime d'exonération de responsabilité de la directive sur le commerce électronique s'applique à eux.

La DSA s'appliquera aux intermédiaires proposant leurs services sur le marché intérieur européen, qu'ils soient basés dans l'Union européenne (UE) ou hors de ses frontières. La DMA imposera de nouvelles obligations aux grandes plates-formes en ligne qualifiées de « gatekeepers » (contrôleurs d'accès). Ces plates-formes ont un impact significatif et jouissent d'une position privilégiée et durable. Le non-respect des règles prévues par la DMA pourrait entraîner de lourdes amendes pouvant atteindre dix pour cent des recettes globales d'une société ou, dans le pire des cas, la possibilité de liquider des sociétés coupables de violations répétées des nouvelles règles.

Le Parlement européen et les États membres de l'UE débattront des propositions de lois de la Commission européenne. Si elles sont adoptées, les lois seraient directement applicables dans toute l'UE.

Le nouveau paquet cybersécurité de l'UE

Le 16 décembre 2020, la Commission européenne a annoncé une série d'initiatives dans le domaine de la cybersécurité. Premièrement, elle a annoncé la « Communication sur la stratégie de cybersécurité de l'UE pour la décennie numérique » qui présente les principaux objectifs politiques dans les domaines de la cybersécurité et de la souveraineté technologique. Deuxièmement, la Commission européenne a soumis une proposition pour la « Révision de la directive sur la sécurité des réseaux et des systèmes d'information » (NIS2). Troisièmement, elle a proposé une « directive sur la résilience des entités critiques ».

La nouvelle stratégie de cybersécurité de l'UE, qui vise à accroître la résilience collective de l'Europe contre les cybermenaces, comprend une section intitulée « Renforcement de la sécurité globale d'Internet ». La section 1.6 de cette stratégie propose un certain nombre de mesures liées au DNS. « La Commission souhaite définir un plan de contingence, soutenu par des fonds européens, visant à faire face à des scénarios extrêmes affectant l'intégrité et la disponibilité du système des serveurs racine du DNS à l'échelle mondiale. [...] Dans un but d'atténuation des problèmes de sécurité liés à la concentration des marchés, la Commission encouragera les sociétés basées dans l'UE, les FSI et les fournisseurs de navigateurs à adopter une stratégie de diversification de la résolution du DNS. [...] La Commission souhaite également contribuer à la sécurisation de la connexion Internet en soutenant le développement d'un service public européen de résolveur du DNS. Cette initiative « DNS4EU » offrira un service européen alternatif d'accès à Internet. [...] De même, en lien avec les États membres et le secteur, la Commission accélérera l'adoption de normes Internet clés, dont l'IPv6 et des normes éprouvées en matière de sécurité de l'Internet, et des bonnes pratiques pour le DNS, le routage et la sécurité des e-mails. [...] Enfin, la Commission examinera l'opportunité de mettre en place un mécanisme assurant un suivi et un recueil plus systématiques de données agrégées relatives au trafic Internet et permettant de prévenir d'éventuelles perturbations. »

La proposition d'une directive révisée sur la sécurité des réseaux et des systèmes d'information (directive NIS2) est une mise à jour de la directive NIS actuelle de l'UE et imposera de nouvelles obligations aux fournisseurs de services « essentiels » et « importants » dans des secteurs critiques, dont la signalisation des cyberattaques, la mise en œuvre de politiques de sécurité, l'analyse de la sécurité des fournisseurs et l'utilisation de technologies de chiffrement.

Les fournisseurs DNS sont inclus dans la liste d'entités, de la directive NIS actuelle, pour lesquelles les opérateurs de services essentiels doivent être identifiés. À cet égard, certains pays de l'UE ont identifié des opérateurs de services essentiels au sein du système des noms de domaine (DNS), tandis que d'autres non. Selon la directive NIS2, « Le maintien et la préservation d'un système des noms de domaine (DNS) fiable, résilient et sécurisé constituent une composante clé de la sauvegarde de l'intégrité de l'Internet et sont essentiels à son fonctionnement continue et stable, dont dépendent l'économie numérique et la société. Par conséquent, la directive doit s'appliquer à tous les fournisseurs de services DNS intervenant dans la chaîne de résolution du DNS, dont les opérateurs de serveurs de noms racine, les serveurs de noms de domaine de premier niveau (TLD), les serveurs de noms faisant autorité et les résolveurs récursifs. Ainsi, les fournisseurs de services DNS seront automatiquement soumis à la directive NIS2 sans que les États membres de l'UE n'aient à identifier les opérateurs de services essentiels au sein du DNS.

Dans les cas où un fournisseur de services DNS non basé dans l'UE propose des services au sein de l'UE, il doit désigner un représentant en vertu de la directive NIS2. Ce représentant sera basé dans l'un des États membres de l'UE qui offrent ces services. Une telle entité sera réputée relever de la compétence de l'État membre dans lequel le représentant est basé.

La directive NIS2 reconnaît également que « Le maintien de bases de données exactes et complètes de noms de domaine et de données d'enregistrement (les « données WHOIS ») et la fourniture d'un accès autorisé à ces données sont essentiels afin de garantir la sécurité, la stabilité et la résilience du DNS », et contient des dispositions sur les données d'enregistrement de noms de domaine. En particulier, l'article 23 de la directive NIS2 imposerait aux États membres de l'UE de veiller à ce que les registres et bureaux d'enregistrement de noms de domaine prennent des mesures liées aux données d'enregistrement.

Article 23

Bases de données de noms de domaine et données d'enregistrement

1. Afin de promouvoir la sécurité, la stabilité et la résilience du DNS, les États membres veilleront à ce que les registres de TLD et les entités fournissant des services d'enregistrement de noms de domaine pour les TLD recueillent et tiennent à jour, avec la diligence requise, des données d'enregistrement de noms de domaine exactes et exhaustives dans une base de données dédiée, dans le respect du droit de l'Union européenne relatif à la protection des données eu égard aux données à caractère personnel.

2. Les États membres feront en sorte que les bases de données de données d'enregistrement de noms de domaine mentionnées au paragraphe 1 contiennent des informations pertinentes permettant d'identifier et de contacter les titulaires de noms de domaine et les points de contact assurant la gestion des noms de domaine pour les TLD.

3. Les États membres s'assureront que les registres TLD et les entités fournissant des services d'enregistrement de noms de domaine pour les TLD mettent en place des politiques et des procédures visant à garantir que les bases de données comportent des informations exactes et exhaustives. Les États membres feront en sorte que de telles politiques et procédures soient mises à la disposition du public.

4. Les États membres veilleront à ce que les registres TLD et les entités fournissant des services d'enregistrement de noms de domaine pour les TLD publient, sans délai après l'enregistrement d'un nom de domaine, des données d'enregistrement de domaines constituant des données à caractère personnel.

5. Les États membres veilleront à ce que les registres TLD et les entités fournissant des services d'enregistrement de noms de domaine pour les TLD fournissent un accès à des données d'enregistrement de noms de domaine spécifiques sur demande légitime et dûment justifiée d'individus ou d'entités légitimes formulant une demande d'accès, conformément au droit de l'Union européenne relatif à la protection des données. Les États membres veilleront à ce que les registres TLD et les entités fournissant des services d'enregistrement de noms de domaine pour les TLD répondent dans un délai raisonnable à toutes les demandes d'accès. Les États membres s'assureront que les politiques et procédures relatives à la divulgation de ces données soient mises à la disposition du public.

La proposition de directive NIS2 est publiée à des fins de consultation publique jusqu'au 15 mars 2021. L'ensemble des retours reçus seront synthétisés par la Commission européenne et présentés au Parlement européen et au Conseil européen afin d'alimenter les débats législatifs. Une fois la proposition de directive NIS2 acceptée par le Parlement européen et le Conseil européen, puis adoptée, les États membres de l'UE devront la transposer dans leur droit interne.

Il en va de même pour la proposition de directive sur la résilience des entités critiques qui élargit la portée et l'ampleur de la directive européenne de 2008 sur les infrastructures critiques. La directive n'imposait auparavant que des obligations de protection physique dans les secteurs de l'énergie et du transport, mais elle sera à présent élargie à dix secteurs : l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, l'administration publique et l'espace. La directive sur la résilience des entités critiques impose des règles visant à protéger les actifs physiques et les réseaux contre tout trafic.

L'équipe en charge de la relation avec les gouvernements travaillera sur un rapport complet, en se fondant sur les initiatives lancées et leur impact sur le DNS. Une fois ce rapport publié, il sera mis à la disposition de la communauté de l'ICANN.

VP, Government and IGO Engagement

Elena Plexida

Read biographyRead biography